Europejska Rada Ochrony Danych 4 grudnia 2018 r. przyjęła Wytyczne 4/2018 w sprawie akredytacji jednostek certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679), czyli RODO. Wraz z wytycznymi opublikowany został Załącznik 1, zawierający dodatkowe wymagania akredytacyjne, poza normami wskazanymi w EN-ISO/IEC 17065/2012. Choć uwagi do wskazanego załącznika można było przesyłać do 1 lutego 2019 r., warto przeanalizować wskazane w nim wymogi. Podmioty certyfikujące, o których mowa w art. 43 RODO, będą bowiem odgrywać istotną rolę w procesie „uwiarygodnienia” przedsiębiorstw i instytucji w zakresie zgodności przetwarzania danych osobowych z przepisami prawa. Przyznane przez nie certyfikaty oraz znaki jakości mają świadczyć o zgodności z RODO operacji przetwarzania dokonywanych przez administratorów i podmioty przetwarzające, a więc pośrednio wpływać na ich pozycję na rynku. Zgodnie z art. 43 ust. 1 RODO państwo członkowskie zapewnia akredytację podmiotu certyfikującego przez organ nadzorczy lub krajową jednostkę akredytującą. W Polsce akredytacji dokonywać będzie Polskie Centrum Akredytacji. Musi ona odbywać się zgodnie z normą ISO/IEC 17065/2012 („Requirements for bodies certifying products, processes and services”, dostępną pod https://www.iso.org/standard/46568.html) oraz zgodnie z dodatkowymi wymogami określonymi przez organ nadzorczy.
Załącznik określa proponowane wymagania, które powinien sformułować organ nadzorczy, i które powinny mieć zastosowanie podczas akredytacji podmiotu certyfikującego. Te dodatkowe wymogi organ nadzorczy powinien przekazać przed zatwierdzeniem Europejskiej Radzie Ochrony Danych, w celu wydania opinii, zgodnie z art. 64 ust. 1 lit. c) RODO.

 


 

Ogólne wymogi dotyczące akredytacji

Oprócz odpowiedzialności prawnej podmiotu certyfikującego, akredytacja powinna zapewniać, że jest on zawsze w stanie wykazać zgodność z warunkami akredytacji i RODO organizacjom składającym wnioski o certyfikację, również w odniesieniu do własnych obowiązków administratora danych.
Podmiot certyfikujący powinien też wykazać, że postanowienia zawieranych przez niego z podmiotami certyfikowanymi umów certyfikacji:

  • wymagają od wnioskodawcy, aby zawsze przestrzegał zarówno ogólnych wymagań certyfikacyjnych w rozumieniu normy ISO, jak i kryteriów zatwierdzonych przez właściwy organ nadzorczy lub EROD,
  • wymagają od wnioskodawcy zapewnienia pełnej przejrzystości wobec organu nadzorczego w odniesieniu do procedury certyfikacji, w tym klauzul umownych, dotyczących zgodności z wymogami ochrony danych,
  • nie zmniejszają odpowiedzialności wnioskodawcy za zgodność z RODO i pozostają bez uszczerbku dla zadań i uprawnień organu nadzorczego;
  • wymagają od wnioskodawcy dostarczenia jednostce certyfikującej wszelkich informacji i dostępu do czynności przetwarzania, które są niezbędne do przeprowadzenia procedury certyfikacji,
  • wymagają od wnioskodawcy przestrzegania obowiązujących terminów i procedur,
  • określają zasady ważności, przedłużenia i cofnięcia certyfikacji, w tym zasady określające odpowiednie odstępy czasu do ponownej oceny lub przeglądu,
  • zezwalają jednostce certyfikującej na ujawnienie wszystkich informacji niezbędnych do przyznania certyfikatu,
  • zawierają zasady dotyczące niezbędnych środków ostrożności w celu rozpatrzenia reklamacji, jak również zawierają wyraźne uregulowania dotyczące struktury i procedury zarządzania reklamacjami,
  • zawierają konsekwencje wycofania akredytacji dla jednostki certyfikującej i jej klientów (wnioskodawców i posiadaczy certyfikatów/znaków jakości),
  • wymagają, aby wnioskodawca poinformował jednostkę certyfikującą w przypadku istotnych zmian w jego faktycznej lub prawnej sytuacji oraz w produktach, procesach i usługach objętych certyfikacją.

Podmiot certyfikujący powinien wykazać swoją niezależność, w tym finansową, tak aby, nie było wątpliwości co do jego bezstronności, a także tego, że jego zadania i obowiązki nie prowadzą do konfliktu interesów. Dodatkowo musi zostać zapewnione, że pomiędzy jednostką certyfikującą a podmiotem, który jest oceniany, nie ma żadnych istotnych powiązań. Podmiot certyfikujący powinien posiadać właściwe środki (np. ubezpieczenie lub rezerwy) w celu pokrycia swoich zobowiązań w regionach geograficznych, w których prowadzi działalność. Od jednostki certyfikującej wymaga się, aby wszystkie wersje zatwierdzonych kryteriów certyfikacji były publikowane i łatwo dostępne, podobnie jak wszystkie stosowane procedury certyfikacji, wraz z określeniem odpowiedniego okresu ich ważności. Do publicznej wiadomości powinny zostać również podane informacje o procedurach rozpatrywania skarg na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający.

Czytaj również: Niech firmy sobie stworzą standardy stosowania RODO - mówi wiceszef UODO  >>

Wymogi dotyczące zasobów

Podmiot certyfikujący musi zapewnić, że jego personel: wykazuje się odpowiednią wiedzą fachową i doświadczeniem w zakresie ochrony danych, ma niezależność i wiedzę fachową w zakresie przedmiotu certyfikacji, nie występuje w jego przypadku konflikt interesów, ma odpowiednią wiedzę i doświadczenie w stosowaniu ustawodawstwa dotyczącego ochrony danych a także w zakresie technicznych i organizacyjnych środków ochrony danych oraz jest w stanie wykazać doświadczenie w dziedzinach wymienionych wyżej. W przypadku personelu podmiotu certyfikującego posiadającego wiedzę techniczną, wymaga się, żeby osoby takie: uzyskały kwalifikacje w odpowiedniej dziedzinie wiedzy technicznej co najmniej na poziomie EQF 6 lub uznany tytułu w odpowiednim zawodzie regulowanym lub miały znaczące doświadczenie zawodowe. Osoby odpowiedzialne za decyzje certyfikacyjne powinny posiadać znaczne doświadczenie zawodowe w zakresie identyfikacji i wdrażania środków ochrony danych, zaś osoby odpowiedzialne za ewaluacje - doświadczenie zawodowe w zakresie technicznej ochrony danych oraz wiedzę i doświadczenie w zakresie porównywalnej procedury (np. certyfikacji/audytów). Przewidziane dla personelu prawniczego podmiotu certyfikującego wymogi obejmują m.in.: konieczność ukończenia studia prawniczych na uniwersytetach uznanych przez UE lub państwo oraz posiadanie stopnia naukowego Master (LL.M.) lub równoważnego lub znaczące doświadczenie zawodowe. Personel odpowiedzialny za decyzje certyfikacyjne musi wykazać się znaczącym doświadczeniem zawodowym w zakresie prawa ochrony danych i być zarejestrowany zgodnie z wymogami państwa członkowskiego, zaś personel odpowiedzialny za oceny co najmniej dwuletnim doświadczeniem zawodowym w zakresie prawa o ochronie danych oraz wiedzą i doświadczeniem w zakresie porównywalnych procedur (np. certyfikacji/audytów).

 


 

Wymogi proceduralne certyfikacji

Istotne jest to, że przedmiot certyfikacji musi być szczegółowo opisany we wniosku. Obejmuje to również interfejsy i transfery do innych systemów i organizacji, protokoły i inne zapewnienia. Wniosek określa, czy korzysta się z podmiotów przetwarzających, a gdy to podmioty przetwarzające są wnioskodawcami, opisuje się ich obowiązki i zadania, a wniosek powinien zawierać odpowiednie umowy wiążące administratora danych i procesorów. W umowie o certyfikację powinny być określone wiążące metody oceny w odniesieniu do ToE (ang. target of evaluation). Mechanizmy certyfikacji powinny wskazywać odpowiednie metody oceny zgodności operacji przetwarzania z kryteriami certyfikacji, w tym (jeśli jest to w danym przypadku stosowne): metodę oceny konieczności i proporcjonalności operacji przetwarzania w odniesieniu do ich celu i podmiotów danych, których dotyczą czy metodę oceny zakresu, składu i oceny wszystkich ryzyk uznanych przez administratora i podmiot przetwarzający w odniesieniu do skutków prawnych, a także w odniesieniu do definicji środków technicznych i organizacyjnych, metodę oceny środków zaradczych, w tym gwarancji, zabezpieczeń i procedur w celu zapewnienia ochrony danych osobowych w kontekście przetwarzania, które należy przypisać przedmiotowi certyfikacji, oraz dokumentacja metod i wyników. Jednostka certyfikująca powinna być zobowiązana do zapewnienia, że te metody oceny są ogólne i ustandaryzowane. Oznacza to, że porównywalne metody oceny są stosowane dla porównywalnych ToE. Wszelkie odstępstwa od tej procedury muszą być uzasadnione przez jednostkę certyfikującą.

Czytaj w LEX: Procedura certyfikacji w ochronie danych osobowych >>
Podmiot certyfikujący musi zapewnić, aby dokumentacja była w pełni dostępna dla organu nadzorczego, na jego żądanie. Powinien też przewidzieć procedurę regularnego przeglądu i cofania odpowiednich certyfikatów. Jednostka certyfikująca powinna być zobowiązana do szczegółowego określenia w swoich kryteriach, w jaki sposób zapewnia się jej niezależność i odpowiedzialność w odniesieniu do poszczególnych decyzji certyfikacyjnych. Okres ważności certyfikatów nie powinien przekraczać trzech lat, od podmiotu certyfikującego należy również wymagać udokumentowania okresu planowanego monitorowania w celu utrzymania certyfikacji. Jednostka certyfikująca powinna być zobowiązana do przechowywania informacji o certyfikowanych produktach, procesach i usługach w sposób dostępny wewnętrznie i publicznie, jak również do powiadamiania organu nadzorczego o przyczynach udzielenia lub unieważnienia certyfikacji.
Jednostka certyfikująca powinna być zobowiązana do zapewnienia, że klient (wnioskodawca lub posiadacz znaku jakości) jest niezwłocznie informowany o zmianach w ramach prawnych certyfikacji wynikających z nowelizacji przepisów czy orzeczeń sądowych oraz zmian w stanie techniki, istotnych dla certyfikacji i monitorowania danego klienta. Procedura powinna również obejmować środki i procedury cofnięcia certyfikacji, jeżeli certyfikowana operacja przetwarzania nie jest już zgodna ze zaktualizowanymi kryteriami. Jednostka certyfikująca powinna być zobowiązana do niezwłocznego poinformowania organu nadzorczego o podjętych środkach oraz o kontynuacji, ograniczeniach, zawieszeniu i cofnięciu certyfikacji. Jeżeli wymóg certyfikacji nie jest lub przestał być spełniany, jednostka certyfikująca jest zobowiązana do zaakceptowania decyzji i poleceń wydanych przez właściwy organ nadzorczy w celu wycofania lub niewydania certyfikatu klientowi (wnioskodawcy).
Jednostka certyfikująca powinna być zobowiązana do zdefiniowania procedur wnoszenia skarg i sprzeciwów i postępowania w ich sprawie, jak również określenia w jaki sposób zapewniona jest separacja między działaniami certyfikacyjnymi a rozpatrywaniem sprzeciwów i skarg.

Wymagania co do systemu zarządzania

Podstawową zasadą zarządzania jest zdefiniowanie systemu, zgodnie z którym jego cele są ustalane skutecznie i efektywnie, w szczególności wdrożenie usług certyfikacyjnych - za pomocą odpowiednich specyfikacji. Wymaga to przejrzystości i weryfikowalności wdrażania wymagań akredytacyjnych przez jednostkę certyfikującą. W tym celu system zarządzania musi określać metodologię osiągania i kontrolowania tych wymagań zgodnie z przepisami o ochronie danych. Zasady zarządzania i ich udokumentowana realizacja muszą być przejrzyste i ujawniane przez akredytowaną jednostkę certyfikującą organowi nadzorczemu w sytuacjach w RODO wskazanych. Akredytowana jednostka certyfikująca musi stale i na bieżąco podawać do publicznej wiadomości, jakie certyfikaty zostały przyznane, na jakich warunkach i na jak długi okres.

Wymagania co do szkoleń i komunikacji

Jednostka certyfikująca powinna ustanowić procedury aktualizacji stosowanych metod oceny w razie zmian w stanie prawnym, odpowiednich ryzyk, stanu wiedzy i kosztów wdrożenia środków technicznych i organizacyjnych. Konieczne jest również szkolenie swoich pracowników w celu aktualizacji ich umiejętności. Powinny też zostać wdrożone odpowiednie procedury i struktury komunikacji między jednostką certyfikującą a jej klientem. Postępowanie reklamacyjne winno zostać ustalone jako integralna część systemu zarządzania, zaś odpowiednią skargę i zastrzeżenia należy przekazać organowi nadzorczemu. Podobnie do systemu zarządzania jednostki certyfikującej należy włączyć procedury postępowania w przypadku zawieszenia lub cofnięcia akredytacji, w tym dotyczące powiadamiania klientów.

Dalsze dodatkowe wymagania

Dodatkowe wymagania akredytacyjne wskazane w załączniku 1 do Wytycznych 4/2018 w sprawie akredytacji jednostek certyfikujących na podstawie art. 43 RODO sprowadzają się głównie do opracowania i wdrożenia rozbudowanych i precyzyjnych procedur odnośnie samego procesu certyfikacji podmiotów ubiegających się o nią. Drugą, istotną kwestią jest konieczność wykazania przez podmiot certyfikujący przed podmiotem akredytującym własnej niezależności i bezstronności, a także wymóg posiadania właściwych środków (np. ubezpieczenie lub rezerwy) w celu pokrycia swoich zobowiązań w regionach geograficznych, w których prowadzi działalność. Trzecią istotną kwestią są wymagania w zakresie kwalifikacji personelu jednostki certyfikującej, gdzie zarówno pracownicy zajmujący się kwestiami prawnymi, jak i ci zajmujący się kwestiami technicznymi, muszą wykazać się wysokim poziomem wiedzy merytorycznej i doświadczenia zawodowego w dziedzinie ochrony danych osobowych jako takiej, ale również w zakresie oceny i certyfikowania innych podmiotów. Małe, działające od niedawna podmioty zajmujące się świadczeniem tego typu usług mogą nie spełnić wymagań w tym zakresie. Należy mieć na uwadze, że większość działających na rynku usług ODO przedsiębiorstw nie dysponuje personelem, który byłby w stanie prawidłowo ocenić stosowane przez administratorów/procesorów środki techniczne ochrony danych osobowych. Trzeba też podkreślić, że oprócz opisanych wymagań konieczne jest spełnienie tych wskazanych w normie EN-ISO/IEC 17065/2012. Stąd też należy przyjąć, że podmioty mogące ubiegać się o akredytację Polskiego Centrum Akredytacji to zaledwie niewielki odsetek tych, które działają na polskim rynku w tejże branży.

Katarzyna Szczypińska jest radcą prawnym w ODO 24, odpowiada za przeprowadzanie audytów, przygotowywanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

 

Czytaj w LEX: Procedura certyfikacji w ochronie danych osobowych >>

Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>